Apache Tomcat 보안 업데이트: CVE-2017-7675
Mark Thomas가 공유한 Apache Tomcat 보안 공지입니다.
- [UPDATE][SECURITY] CVE-2017-7675 Apache Tomcat Security Constraint Bypass
- Bug 61120 - Tomcat 8.5.15 with HTTP/2: URL path parameters lost
이 이슈는 Apache Tomcat의 보안 제약 조건 처리와 관련된 취약점으로 안내되었습니다. 함께 언급된 Bug 61120은 HTTP/2 사용 시 URL 경로 파라미터가 손실되는 문제와 관련이 있으므로, 해당 버전 또는 유사한 구성에서 Tomcat을 운영 중이라면 공지와 버그 내용을 함께 확인하는 것이 좋습니다.
확인 및 대응
운영 중인 Tomcat 버전과 HTTP/2 사용 여부를 먼저 확인하고, Apache Tomcat 공식 공지에서 안내하는 영향을 받는 버전과 수정 버전을 기준으로 업그레이드 여부를 판단하세요. 보안 제약 조건을 사용하는 애플리케이션이라면 업그레이드 후 접근 제어가 의도대로 동작하는지 간단한 요청 테스트도 함께 수행하는 것이 안전합니다.
Red Hat의 관련 보안 안내는 다음 링크에서 확인할 수 있습니다.